LastPass Hacked: Skift dit hovedadgangskode, aktiver multifactor-godkendelse
LastPass har i dag udgivet en sikkerhedsmeddelelse på sin blog, der lader brugerne vide, at dets servere blev hacket og nogle data blev stjålet. Her er et kig på, hvad LastPass sagde, hvordan du ændrer dit hovedadgangskode og aktiverer multifaktorautentificering for godt.
LastPass Hacked
I et blogindlæg gav LastPass nogle begrænsede detaljer om, hvad der skete:
Vi ønsker at underrette vores fællesskab om det på fredag, og vores team opdagede og blokerede mistænkelig aktivitet på vores netværk. I vores undersøgelse har vi ikke fundet noget bevis for, at krypterede brugerhvelvede data blev taget, heller ikke at der blev adgang til LastPass-brugerkonti. Undersøgelsen har imidlertid vist, at LastPass-konto-e-mailadresser, adgangskodeindkaldelser, server pr. Brugersalte og godkendelseshash er blevet kompromitteret.
Vi er overbeviste om, at vores krypteringsforanstaltninger er tilstrækkelige til at beskytte langt de fleste brugere. LastPass styrker autentifikations hash med et tilfældigt salt og 100.000 runder af server-side PBKDF2-SHA256, ud over de runder, der udføres på klientsiden. Denne ekstra styrkelse gør det vanskeligt at angribe de stjålne hash med nogen betydelig hastighed.
Virksomheden sagde også: "Vi kræver, at alle brugere, der logger ind fra en ny enhed eller IP-adresse, først verificerer deres konto via e-mail, medmindre du har aktiveret multifaktor-godkendelse. Som en ekstra forholdsregel vil vi også opfordre brugerne til at opdatere deres hovedadgangskode. "
En ting, der er ret irriterende for mange brugere, er, at de finder ud af denne nyhed på hjemmesider. Som firmaet også sagde i sin post, at e-mails bliver sendt til alle brugere om sikkerhedshændelsen. På tidspunktet for denne skrivning har jeg ikke modtaget en, og ved udseendet af kommentarerne på LastPass blog har hverken mange andre brugere.
Skift dit LastPass Master Password
At ændre dit hovedadgangskode, og klik på Kontoindstillinger i venstre rude.
Derefter i vinduet Kontoindstillinger klikker du på Skift hovedadgangskode under sektionen Login credentials.
Det vil bringe dig til Password Reset-siden, hvor du blot kan følge instruktionerne på skærmen for at ændre dit hovedadgangskode. Under processen vil LastPass genkryptere alt og sende dig en verifikations-email, som du har ændret mesteren.
Aktivér MultiFactor-godkendelse til LastPass
Mens du er i det, anbefaler vi, at du aktiverer multifaktor-godkendelse til din LastPass-konto. Det tilføjer et ekstra sikkerhedslag til din konto, og giver dig mere ro i sindet om, at dine adgangskoder er sikre.
I sin udtalelse i dag sagde LastPass: "Vi kræver, at alle brugere, der logger ind fra en ny enhed eller IP-adresse, først verificerer deres konto via e-mail, medmindre du har multifaktor-godkendelse aktiveret."
Vi viste dig, hvordan du aktiverer LastPass Two Factor Authentication for et par år siden. Processen er ekstremt enkel, og der er ingen bedre måde at sikre din LastPass-konto på. Ærligt, i det online klima, vi har i dag, gør det muligt at godkende to faktorer, er det ikke længere valgfrit, hvis du vil sikre dine online-konti sikkert. Vi har talt om dette i dybden her på , og vi planlægger at fokusere på dette endnu mere i de kommende uger.
For at aktivere to faktor- eller multifaktor-godkendelse i Lastpass, skal du bare gå til Kontoindstillinger> Multifaktorindstillinger og vælge den metode, du vil bruge ... Google Authenticator er nok det nemmeste.
Der er andre tjenester, som brugere, der har en Premium-konto ($ 12 / år), kan bruge som fingeraftrykskannere og USB-nøgler.
Opdatering 6/16/2015:
I dag modtog jeg endelig en email fra LastPass om sikkerhedsproblemet. Det er kort og giver ikke meget mere detaljer end det vi allerede ved.
Kære LastPass-bruger,
Vi ønskede at advare dig om, at vores team for nylig har opdaget og straks blokeret mistænkelig aktivitet på vores netværk. Der blev ikke taget krypterede brugerhvelvede data, men andre data, herunder e-mailadresser og påmindelser om adgangskode, blev kompromitteret.
Vi er overbevist om, at de krypteringsalgoritmer, vi bruger, vil beskytte vores brugere tilstrækkeligt. For at sikre din sikkerhed yderligere skal vi verificere via e-mail, når du logger ind fra en ny enhed eller en IP-adresse, og det vil opmuntre brugerne til at opdatere deres masteradgangskoder.
Vi beklager ulejligheden, men i sidste ende tror vi, at dette bedre beskytter LastPass-brugere. Tak for din forståelse, og for at bruge LastPass.
Hilsen,
The LastPass Team
Samlet set synes dette ikke at være noget at panikere over, da de adgangskoder, der er gemt i dit hvælving, er godt beskyttede og burde ikke have været kompromitteret. Du vil dog helt sikkert gerne ændre dit hovedadgangskode og aktivere multifaktor-godkendelse så hurtigt som muligt.